Az elmúlt néhány évben a „mesterséges intelligencia ügynöke” kifejezés már nem pusztán marketingkifejezés, hanem valódi munkafolyamattá vált: egy asszisztens, amely képes olvasni a fájljaidat, megnyitni a böngésződet, parancsokat futtatni és műveleteket összefűzni a szolgáltatások között. Ez az ígéret.
A probléma az, hogyaz áramnak van egy elosztási csatornájaÉs ezt a csatornát egyre inkább a következőnek nevezik:készség: egy kis, megosztható „hogyan kell” csomag, amely megtanítja az ügynököt (és gyakran a felhasználót is), hogyan végezzen el egy feladatot. Ez az alkalmazásbolt pillanata az ügynökök számára – kivéve, hogy az „alkalmazások” gyakranjelölési utasítások.
A rosszindulatú OpenClaw készségekről szóló e heti jelentések korai és nagyon hangos jelzések arra, hogy a nyílt forráskódú ellátási láncok történetének megismétlésére készülünk – de egy csavarral: a lefordított függőség megmérgezése helyett a támadók megmérgezhetik...dokumentációés az ügynök segítőkészségét használd síkosítóként.
Az alábbiakban egy gyakorlati magyarázatot talál arról, hogy mi történt, miért működik olyan jól, és mit tehet ellene.
Mik az OpenClaw készségek (és miért fontosak)
Az OpenClaw egy egyszerű kiterjesztési modellt tett népszerűvé: be kell dobni egy „készséget”, amely elmagyarázza, hogyan kell elvégezni egy szűk feladatot – posztolni a közösségi médiában, törölni a mappákat, összefoglalni egy jelentést, automatizálni egy munkafolyamatot –, és az ügynök új képességre tesz szert.
A tágabb „ügynöki készségek” ökoszisztémában a készség jellemzően egy mappa, amely egySKILL.mdfájl. A fájl tartalma:
- Metaadatok(név / leírás)
- Utasítás(a tényleges lépések)
- Opcionálisan:szkriptekés egyéb összevont eszközök
Ez ártalmatlannak hangzik, mert dokumentációnak tűnik. De a dokumentációt az emberek gyorsan követik, különösen, ha előfeltételek listájának vagy telepítési útmutatónak tűnik.
A készségek esetében a „győztes mindent visz” dinamika is érvényesül: az emberek a népszerű, az új és az időt megtakarítónak tűnő dolgokhoz vonzódtak. Ez teszi a nyilvános készségpiacot értékes célponttá: kompromisszumot kötve néhány legnépszerűbb letöltéssel elérhet egy koncentrált, kiemelt felhasználókból álló csoportot – fejlesztőket, operátorokat és bárkit, akinek értékes hitelesítő adatai vannak a gépén.
A lényeg: a Markdown már nem „tartalom” – hanem egy telepítő
A hagyományos szoftverellátási lánc támadások gyakran technikai beruházást igényelnek: függőségi zavar, elgépelés, rosszindulatú telepítés utáni szkriptek, a csomagnév feletti ellenőrzés fenntartása és a szkennerek kikerülése.
A szakképzett munkaerő piaca lejjebb teszi a lécet.
Egy rosszindulatú képesség valami egészen egyszerűt is képes elérni:
- Mutasson be egy elfogadható eszközt („Twitter-készség”, „kriptokövető”, „automatizálási segítő”).
- Adjon hozzá egy „Előfeltételek” részt egy „kötelező függőséggel”.
- Biztosítson egy kényelmes hivatkozást és egysoros parancsot.
- Bízd az emberre (vagy az ügynökre) a végrehajtását.
Ez nem egy újfajta szociális manipuláció – már évek óta használják –, de az ügynöki munkafolyamatokfelerősítazt:
- Az ügynökök magabiztosan összefoglalják a dokumentációkat („Csak futtassa ezt a függőség telepítéséhez”).
- Az ügynökök a parancsok generálásával csökkentik a súrlódást.
- Bizonyos beállításokban az ügynökök maguk is futtathatnak shell parancsokat.
Ezen a ponton a „dokumentáció” távoli végrehajtási útvonallá válik.
A jelentések szerint mi történt az OpenClaw ökoszisztémában
Több írás is leír egy olyan kampányt, amelyben a támadók nagyszámú rosszindulatú képességet töltöttek fel a ClawHub piactérre, és „beállítási lépéseket” használtak információlopó rosszindulatú programok eljuttatására.
A 1Password munkatársa, Jason Meller szerint az egyik leggyakrabban letöltött képesség olyan utasításokat tartalmazott, amelyek egy szakaszos kézbesítési láncba terelték a felhasználókat: egy linket egy „függőséghez”, egy obfuszkált parancsot, majd egy hasznos adatot, amely végül egy olyan információlopót telepített, amelynek célja az értékes titkok kifosztása volt a gépen.
A CyberInsider a Koi Security kutatására hivatkozva hasonló mintázatot ír le nagy léptékben: trójai támadások előfeltételekkel (Előfeltételek) utasítják a felhasználókat obfuszkált shell szkriptek futtatására vagy jelszóval védett archívumok letöltésére, ami olyan hasznos programokban csúcsosodik ki, mint az Atomic macOS Stealer (AMOS) – egy rosszindulatú programcsalád, amelyet a hitelesítő adatok ellopásával és a pénztárca célzásával hoznak összefüggésbe.
Akár a pontos számok eltérnek a jelentések között, akáralakkövetkezetes:
- Elosztásként használt készségek
- „Előfeltételes” utasítások használata meggyőzésként
- Az információlopók a végcél szerepét töltik be
Ez a végcél számít: a modern információlopók nem egyetlen jelszóra vadásznak, hanemmunkamenet-tokenek,böngészőprofilok,SSH-kulcsok,felhőalapú hitelesítő adatok, éskripto tárcákMás szóval: az a dolog, ami egyetlen feltört laptopot egy nagyobb kompromittálódássá változtat.
Miért teszik ezt az ügynökök rosszabbá, mint egy átlagos átverős letöltési linket?
Ha valaha is azt gondoltad, hogy „én ezt nem dőlnék be”, akkor valószínűleg igazad van, amikor nyugodt és szkeptikus vagy.
Az ügynöki munkafolyamatok azonban megváltoztatják a kontextust:
- A sebesség lesz az alapértelmezett.Ügynököt veszel igénybe, mert gyorsan akarsz cselekedni.
- A kognitív terhelés kiszerveződik.Az ügynök egy kusza utasításlapot magabiztos ellenőrzőlistává alakít.
- A hatalmat kölcsönzik.Ha az ügynök azt mondja: „Ez a standard függőség”, akkor úgy tűnik, hogy átgondolták.
Más szóval: az ügynököt nem kell technikai értelemben „becsapni”. Elég, ha jelen van, miközben egy kockázatos dolog megtételére ösztönöznek. Ez elég ahhoz, hogy viselkedésbeli ingadozást jelezzen.
És ha tecsináljHa az ügynök közvetlenül futtathat parancsokat, egy rosszindulatú képesség „kéz nélküli kompromittálódássá” válhat.
„De mi a helyzet az MCP-vel? Nem az a célja, hogy biztonságosabbá tegye a szerszámokat?”
A Model Context Protocol (MCP) valódi előrelépést jelent az eszközhozzáférés strukturálásában. Szabványosítja, hogy a hosztok hogyan teszik elérhetővé az eszközöket, erőforrásokat és promptokat, és hangsúlyozza a felhasználói beleegyezést és ellenőrzést.
Az MCP azonban nem teszi varázsütésre biztonságossá a „készségeket”.
Miért?
- A képességek utasíthatják a felhasználókat parancsok futtatására az MCP határain kívül.
- A készségek olyan szkriptekhez vagy letöltésekhez kapcsolódhatnak, amelyek soha nem érintik az MCP-t.
- Nem minden képesség használ MCP-t.
Az MCP segíthet, ha a gazdagép erős jogosultságkezelést, egyértelmű hozzájárulási kérdéseket, naplózást és biztonságos alapértelmezéseket valósít meg. De egy markdown-alapú terjesztési mechanizmus továbbra is megkerülheti ezt a sima, szociális manipulációval.
Ez az ellátási lánc biztonságának ügynöki változata (és már jártunk itt korábban)
A szoftvervilág a saját kárán tanulta meg, hogy:
- A népszerű nyilvántartásokat visszaélések érik.
- Az elgépelés működik.
- Az „Install this helper” (Telepítse ezt a segédprogramot) egy gyakori belépési pont.
- A legértékesebb áldozatok azok, akik építenek.
A szakképesítési piacterek ezeket a tanulságokat két új gyorsítóeszközzel ötvözik:
- A „csomag” lehet utasítás, nem kód – és az utasításokat nehezebb megbízhatóan beolvasni.
- A futásidejű környezet hitelesítő adatokban gazdagtervezésileg: böngészők mindenbe bejelentkezve, SSH-kulcsokkal rendelkező terminálok, felhőalapú parancssori felületek, jelszókezelők és helyi fájlok.
Bizonyos értelemben a szakértelem piactér egy alkalmazásbolt, ahol a legnépszerűbb alkalmazások azt mondhatják, hogy „Másold be ezt a Terminálba a funkció engedélyezéséhez”. Ez nem egy egyetlen jelölőnégyzettel megoldható probléma.
Gyakorlati védelem (átlagos felhasználók számára)
Ha egy helyi hozzáféréssel rendelkező ügynökkel kísérletezel, akkor úgy kell kezelned, mint egy új, szuperképességekkel rendelkező operációs rendszer-felhasználót.
Íme a pragmatikus alapötlet:
- Használjon dedikált gépet vagy virtuális gépetügynökkísérletekhez. Nincsenek mentett vállalati bejelentkezések. Nincsenek éles SSH-kulcsok. Nincsenek felhőalapú adminisztrátori munkamenetek.
- Alapértelmezés szerint „nem” az egysoros telepítőknél.Különösen bármi, ami sh-ba curl-öl, base64-et használ, vagy az operációs rendszer védelmének eltávolítását kéri.
- Ne bízz a „legtöbbször letöltött” tartalomban.A népszerűség egy növekedési trükk, nem pedig biztonsági modell.
- Ha már futtattál valamit, akkor azt változtasd meg először, ami fontos.Böngésző munkamenetek, SSH kulcsok, API tokenek, felhőkulcsok.
- Előnyben részesítjük azokat a készségeket, amelyek forrás-ellenőrzöttek és felülvizsgálhatók(Git repók előzményekkel, ismert karbantartókkal, egyértelmű eredettel).
Mit kellene tenniük a piacoknak (ha túl akarnak élni)?
Ha nyilvános készségnyilvántartást futtatsz, akkor egy támadási felületet futtatsz.
Néhány gyakorlati lépés, amely jelentősen növeli a támadás költségét:
- A kiadó hírneve és származása(ellenőrzött személyazonosságok, előzmények, aláírás).
- Automatizált szkennelésgyanús minták keresésére (kódolt hasznos adatok, obfuszkált egysoros üzenetek, karantén eltávolítása, jelszóval védett archívumok, „telepítési alapfüggőség” külső webhelyen kívüli hivatkozásokkal).
- Figyelmeztetés a felhasználói felület súrlódásárólkülső hivatkozásokhoz és shell parancsokhoz.
- Gyors eltávolítás és látható incidensreagálás(úgy kezeld, mint egy alkalmazásboltot, ne pedig úgy, mint egy visszaélés gyűjtőhelyet).
Ezek egyike sem tökéletes, de időt nyernek – és a védőknek időre van szükségük.
Mire kell a jövőbeli ügynöképítőknek számítaniuk?
Ha magát az ügynök futásidejét építed, feltételezd, hogy a képességek fegyverként lesznek használva.
Ez azt jelenti:
- Alapértelmezett megtagadás parancs végrehajtása(parancsonkénti hozzájárulást igényel, nem egyszeri és végleges váltást).
- Erős sandboxolásfájlrendszerhez és böngészőhöz való hozzáféréshez.
- Hatókörhöz kötött, időhöz kötött engedélyekkönnyű visszavonással.
- Auditálható naplókarról, hogy mit olvasott fel az ügynök, és mit hajtott végre.
A végállapot ugyanaz az irány, amelyet a felhő évekkel ezelőtt is követett: identitás, szabályzat, minimális jogosultságok és auditnaplók – de lejjebb vitték a munkaállomások szintjére.
A lényeg
Az OpenClaw készségtörténete nem csak arról szól, hogy „néhányan rosszindulatú programokat töltöttek fel”. Ez egy előzetes a következő ellátási lánc csatateréről:a készségek disztribúcióként, a markdown végrehajtási útvonalként, az ügynökök pedig gyorsítóként működnek.
Ha az ügynökök a személyes és a munkahelyi gépeinken fognak működni, az ökoszisztémának szüksége van egy bizalmi rétegre, amely a készségpiacokat az alkalmazásboltokhoz hasonlóan, a dokumentációt a kódhoz hasonlóan, a „hasznos automatizálást” pedig privilegizált műveletként kezeli – nem pedig alkalmi kényelemként.
Források
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18